Introduction
Zoom est sous le feu des critiques parce que ses nouvelles conditions générales suggèrent que les personnes concernées ne peuvent pas choisir si leurs données sont traitées ou non par les systèmes d’intelligence artificielle utilisés par Zoom. Dans ce blog, nous allons explorer cette question et discuter des implications qu’elle peut avoir pour Zoom.
Que disent les conditions générales de Zoom ?
En mars 2023, Zoom a ajouté de nouvelles clauses dans ses conditions générales concernant le consentement à l’utilisation des données des clients à des fins telles que l’entraînement de modèles d’IA. Ce qui a suscité la controverse, c’est la règle suivante incluse dans ces clauses :
“Nonobstant ce qui précède, Zoom n’utilisera pas le contenu audio, vidéo ou de chat des clients pour former nos modèles artificiels sans votre consentement. ”
Cette phrase suggère que les utilisateurs qui concluent un accord contractuel avec Zoom s’engagent à accorder à Zoom un droit très étendu de traiter leurs données personnelles.
Zoom se réserve, par le biais de ces nouvelles clauses, une liste de droits en relation avec les données du client, y compris (mais sans s’y limiter) la publication, le partage, la redistribution, l’affichage et la création de travaux dérivés à partir de ces données. Zoom s’accorde également une licence “perpétuelle, mondiale, non exclusive et libre de redevances” pour utiliser les données des clients de la manière qu’elle juge la plus appropriée.
Cela va clairement à l’encontre de toutes les exigences légales en matière de protection de la vie privée que Zoom devrait respecter pour être applicable dans l’UE.
La collecte de données par l’IA de Zoom et le GDPR
Cela pourrait mettre Zoom en difficulté au regard des règles de l’UE en matière de protection de la vie privée, tant au titre du GDPR que de la directive ePrivacy.
Il est assez clair que cette façon de faire Zoom n’est pas conforme à l’exigence du GDPR selon laquelle les personnes concernées doivent donner leur consentement pour ce niveau de traitement de leurs données personnelles.
Directive vie privée et communications électroniques
La directive “vie privée et communications électroniques” peut potentiellement être invoquée par n’importe quel pays de l’UE sur la base d’écoutes, car l’utilisateur final doit consentir à ce que des données soient interceptées par des tiers par le biais de la collecte de données d’IA de l’entreprise.
Cependant, la loi a été modifiée fin 2020 par le code européen des communications électroniques afin d’étendre l’obligation de confidentialité aux services “over-the-top” tels que Zoom.
L’article 5 de cette directive stipule que l’interception, le stockage ou d’autres formes d’interception ou de surveillance des communications et des données relatives au trafic par des personnes autres que les utilisateurs sont interdits sans le consentement des utilisateurs concernés. Cette disposition semble tout à fait pertinente dans le cas présent.
Réponse de Zoom
Ces nouvelles conditions ont fait l’objet de nombreuses critiques et d’un nombre croissant de plaintes de la part des clients. En réponse, Zoom a récemment apporté une petite modification à ses conditions générales.
En effet, Zoom affirme désormais qu’elle n’utilisera pas le contenu audio, vidéo ou de chat des clients dans le cadre de sa collecte de données d’IA sans le consentement de l’utilisateur. Elle a publié une nouvelle mise à jour sur son blog avec des éléments tels que des notes autocollantes, des tableaux blancs, des commentaires et des calendriers. Toutefois, cela ne signifie pas que tous les problèmes ont été résolus.
Données générées par les services
Cependant, Zoom s’accorde toujours un accès similaire et sans entrave à ce que l’on appelle les “données générées par les services”. Outre les informations de télémétrie et de diagnostic, cette catégorie de données comprend les “données d’utilisation du produit” et le “contenu ou les données similaires”, qui peuvent très bien s’appliquer aux téléchargements des utilisateurs. Cela signifie que, pour l’essentiel, rien n’a changé.
Même si un système d’opt-in est prévu, Zoom se réserve le droit d’exécuter cet opt-in au nom de tout participant. Les individus n’auraient pas la possibilité de se désinscrire ou d’annuler leurs propres contributions à une collaboration déjà approuvée par un administrateur de Zoom.
Conclusion
Zoom a été poursuivi à plusieurs reprises dans le passé pour des questions de confidentialité des données et de pratiques commerciales frauduleuses. Par exemple, Zoom a déjà été condamné à une amende en 2021 après avoir partagé des données d’utilisateurs avec LinkedIn, Facebook et Google sans consentement ni notification.
Aucune mesure n’a encore été prise à l’encontre de Zoom pour ses pratiques de collecte de données d’IA dans le cadre du GDPR. Il y a également une certaine confusion générale quant à la manière dont cela se déroulerait exactement. En effet, Zoom dispose d’un bureau européen aux Pays-Bas, mais l’autorité néerlandaise de protection des données indique qu’elle n’est pas enregistrée en tant que régulateur principal. Si l’entreprise ne dispose pas d’un bureau dans l’UE qui réponde aux critères d’un responsable du traitement des données, des sanctions peuvent être imposées. Une chose est sûre, si Zoom ne prend pas des mesures urgentes, les autorités de protection des données pourront sans aucun doute imposer de lourdes amendes à Zoom si une affaire est ouverte contre eux concernant leurs pratiques de collecte de données d’IA.
En savoir plus sur l’IA et les lois sur la protection de la vie privée
